Apple ne sait rien de cette faille de sécurité touchant le trousseau d’accès de macOS

Mickaël Bazoge |

La faille de sécurité découverte par Linuz Henze est remarquable à plus d’un titre. Tout d’abord, elle permet de subtiliser les identifiants et les mots de passe stockés dans les Trousseaux d’accès de Mojave, sans que le malandrin ne possède le mot de passe admin de l’utilisateur. Dans la vidéo ci-dessous, le chercheur exploite la brèche grâce à KeySteal, un petit logiciel développé pour l’occasion. Il parvient à récupérer les données présentes dans les trousseaux Session et Système (mais pas dans le trousseau iCloud, immunisé).

La vulnérabilité, qui concerne aussi les Mac protégés avec SIP, n’a pas besoin des informations de contrôle d’accès du trousseau. Une vraie belle faille en somme, mais — et c’est l’autre aspect notable de cette découverte —, Linuz Henze n’a aucune intention d’en révéler les détails à Apple comme c’est pourtant l’usage.

Le spécialiste de la sécurité, qui n’en est pas à sa première trouvaille, entend ainsi protester contre le fait qu’Apple n’a pas de programme de chasse aux bugs pour macOS. Le « bug bounty » administré par le constructeur ne propose de récompenses qu’aux découvreurs de failles iOS.

Ce programme a d’ailleurs du plomb dans l’aile, c’est un club très fermé dont les sommes sont jugées insuffisantes en regard d’initiatives tierces bien plus rémunératrices (lire : Le programme de chasse aux bugs d'Apple fait un flop). Apple doit d’ailleurs revoir la gestion et le traitement des rapports de bugs suite à l’imbroglio de la faille FaceTime. macOS sera peut-être pris en compte à cette occasion.

Pour se prémunir en attendant un correctif qu’Apple aura du mal à fournir par manque d’information, il est toujours possible de verrouiller le trousseau Session (clic droit sur le trousseau), mais cela va multiplier les demandes de saisie du mot de passe dans macOS.

avatar Lelong | 

J'imagine que cette faille n'est pas l'apanage de Mojave, mais concerne aussi les versions antérieures de MacOS, soit High Sierra et Sierra?

avatar SyMich | 

Il indique "...affecting macOS Mojave and lower."
Donc toutes les versions de MacOS sont probablement affectées par cette faille

avatar pariscanal | 

Oups :: fait accéder à l ordi ??

avatar Bigdidou | 

C’est quelqu’un de connu et sérieux ?
Parce que sa vidéo a elle seule, elle ne démontre rien du tout.
On reste obligé de le croire sur parole.
Donc avant de foncer, de crier encore, Apple de fout de nous, sécurité par dessus la jambe et tout ça, il faudrait tout de même un peu plus d’éléments.
S’ils arrivent, OK pour crier et pour passer sous Windows. Ou pas.

avatar occam | 

@Bigdidou

"OK pour crier et pour passer sous Windows"

1. Crier ne sert (plus) strictement à rien, sinon macOS serait déjà le système le mieux sécurisé au monde.

2. Windows 10 n’est pas foncièrement mieux. Mais ses vulnérabilités sont mieux connues, documentées, plus de gens s’en occupent, et Microsoft est (encore ?) dans une phase de comportement un peu plus adulte et responsable que ne l’est Apple. (Cela, on le sait, n’a pas toujours été le cas.)

Comme le montre l’exemple des failles Exchange déjà cité ici, information ne signifie pas automatiquement remède. Microsoft n’a pas changé du tout au tout, il y a encore trop d’occasions de pédaler dans la mélasse.
Mais il y a du progrès, comme dans le domaine des terribles messages KBxxxxxx :
https://arstechnica.com/gadgets/2019/01/microsoft-promises-to-make-windo...

Alors que, pour l’instant, Apple persiste dans la direction opposée : celle de l’opacité, de l’infantilisation, du déni systématique, du refus de communiquer, sauf sous pression et in extremis.

Pour certains, ces différences peuvent ne paraître que des nuances. Mais au delà d’un certain seuil d’implication, ces différences ont l’effet cumulatif que l’un des systèmes est, ou devient, un environnement de travail viable, alors que l’autre cesse de l’être.

avatar Bigdidou | 

@occam

"OK pour crier et pour passer sous Windows"

Je blaguais ;)
Quoique, à force d’entendre parler ici de la Surface, pour un usage strictement professionnel en gardant le Mac pour la maison et l’iPad pour le quotidien je m’interroge.

avatar rolmeyer | 

@Bigdidou

Tiens c’est drôle comme réaction ?. J’ai une Surface Pro en privé en plus du matos Apple, mais en pro je ne prendrais jamais ça. (Sauf une Surface Studio car sans équivalent)
Parce que ma Surface Pro est soudée collée, les copies de Lénovo ou HP, 4 vis et hop démontée. Z’ont même des pdfs de démontage réparations sur leur sites pour les départements IT. Les Surface Book et Laptop sont collés soudés aussi.
Si je devais changer de crèmerie, je ne retomberai pas dans les même travers d’Apple.Sans compter que Dell et Hp et Lenovo ont de vrais services pro de dépannage/remplacement que n’a pas MS.
La gamme Surface ( j’en ai eu 3) a été mon premier pc physique et ça m’a bien appris une chose, l’herbe n’est pas plus verte ailleurs. Pas moins non plus.

avatar Bigdidou | 

@rolmeyer

C’est parce que j’ai des besoins d’ultra mobilité (un portable même petit, c’est vite encombrant et pas super discret surtout quand on le déplie) et pas des besoins particuliers en fixe en dehors d’une grande réactivité globale. Mais la puissance brute, pas vraiment (c’est le serveur des applications qui s’en occupe comme il peut).
L’iPad pro est très bien, mais j’ai un souci récurrent très spécifique de manipulation dans un logiciel via les clients à distance (Remote Desktop ou autres, tous) sur iOS qui commence à me gonfler sérieusement.
Et je suis plus du tout bricolo avec mes machines.

avatar mimot13 | 

Malheureusement tout ça est vrai et le fait qu'Apple ne veuille pas payer suffisamment les hackers pour trouver les failles est là aussi une "grosse faille" chez Apple.

Apple est décidemment en ce moment dans une très mauvaise passe. Signe d'un tournant décisif ou juste un épiphénomène..? Pour les utilisateurs c'est quand même très embêtant car le trousseau c'est pas une simple photo avec copain ou copine sur la plage. Tim please, wake up !

avatar reborn | 

@occam

Sous windows les mots de passe sont facilement accessible.

http://www.nirsoft.net/utils/web_browser_password.html

avatar frankm | 

C’est du propre !

avatar IRONMAN65 | 

Il y a tellement de failles que s’ils devaient tous les rémunérer ils feraient faillite...??‍♂️

avatar occam | 

Ignorance is Strength.

(Ou comment rendre macOS/iOS invulnérables par déni.)

avatar misterbrown | 

Ils sont radins chez Apple.

Demander 1000 balles pour un téléphone ou 2000 balles pour un ordi portable, ils savent faire.

Mais payer les failles aux chercheurs en sécurité ...

avatar macguy37 | 

J'ai remonté par plusieurs canaux (rapport de bugs classiques, et par un canal plus "officiel") un bug qui empêche la mise à jour de la Bootrom sur plusieurs générations de machines.
Rien depuis + de 6 mois.
J'avoue que c'est déprimant, on a l'impression qu'il n'y a personne au bout.

avatar benny_mac | 

Je confirme aussi…
déjà remonté des bug qui traînent depuis plusieurs moi par le canal feedback et le canal beta, et aucune réaction, ça commence à faire tache :(

Le pire c'est quand j'ai récemment contacté le support d'iTunes / Apple Music pour une fonctionnalité qui plante.

J'ai découvert que ce plantage arrivait qu'en français (belge) et qu'en changeant la langue de l'os, le plantage ne se produisait pas.

La personne du support l'a constaté mais m'a demandé de remonter le bug par apple.com/feedback plutôt que de remonter elle même le problème par voie interne…
Incompréhensible :(s

avatar Powerdom | 

@macguy37

Oui. Pareil comme la dernier version d’iOS qui a mis en panne nombre de camera sur iPhone 6.
Et pourtant je suis enregistré comme bêta testeur. Jamais une réponse

Sauf une fois pour le clavier ou à force de faire remonter ils m’ont contacté pour savoir comment je m’y prenais....

avatar Moonwalker | 

Bof.

avatar TheUMan | 

Je confirme que même en ayant un accès développeur leur système de remonté de bug est d'une nullité à faire peur, tout comme leur temps de reaction...

avatar comboss | 

Pour donner quelques infos : j'ai passé 3 mois au tel avec les hautes instances d'Apple car j'ai été victime d'un bug trousseau.
La personne en question avait tout mes codes, favoris, prelogging enfin bref tout, mais ps l'inverse : moi je n'avais pas accès à ses codes.

Ils n'ont rien su faire et ont fini par ne plus répondre à mes sollicitations lorsque je leur répondais que le problème avait toujours lieu.

J'ai du changer de compte iCloud, changer tour mot de passe et supprimer toute mes photos. Car oui en plus de mdp il avait aussi accès à mon calendrier, mes photos (nudes de ma meuf du coup, le coquin wesh).. bref la totale ahaha

Donc Apple est vraiment une vaste blague en matière de protection des données lorsque je vois qu'il ferme mon dossier alors qu'il n'est ps résolu

avatar occam | 

@comboss

Je confirme. J’ai eu à m’occuper d’un cas analogue.
Résultat : nada.

avatar ForzaDesmo | 

@comboss @occam

Effectivement à ce que je vois c'est vraiment leur façon de faire quand ils n'arrivent pas à résoudre un problème au bout d'un moment plus personne ne répond.
C'est assez incroyable comme façon de faire.

avatar jbmg | 

Une curiosité, lorsque je fais sur le Finder “Masquer les autres“, Safari et parfois d'autres applications ne sont plus utilisable. Sur Safari, je ne peux changer d'onglet … Apple n'a pas trouvé la parade. Il suffit de quitter et relancer et ça rentre dans l'ordre.
Quand à 4D, c'est du pareil au même, quand je charge l'application avec un browser (Safari, Chrome ou Firefox), elle plante au démarrage. Si je la télécharge avec une application spécialisée comme SpeedDownload, Folx, je n'ai pas ce problème.

avatar pagaupa | 

L’Os d’Apple n’est décidément plus ce qu’il était...

avatar Bigdidou | 

@pagaupa

‘L’Os d’Apple n’est décidément plus ce qu’il était...’

Peut-être ne l’a-t-il jamais été ;)
Mais bon, n’oublions pas Talleyrand : quand je me regarde, je me désole, quand je me compare, je me console..
C’est sûrement valable pour les OS aussi.

Pages

CONNEXION UTILISATEUR